1 访问控制
概述
本节包含以安全方式设置访问控制的最佳实践。
最小权限原则
用户账户在任何时候都应以尽可能少的权限运行。
这意味着,Zabbix 前端中的用户账户、数据库用户,或用于 Zabbix 服务器/proxy/agent 进程的用户,都应只拥有执行预期功能所必需的权限。
为 'zabbix' 用户授予额外权限将使其能够访问配置文件并执行可能危及基础设施安全的操作。
在配置用户账户权限时,应考虑 Zabbix 前端用户类型。
请注意,尽管 Admin 用户类型的权限少于 Super Admin 用户类型,但它仍然可以管理配置并执行自定义脚本。
即使对于非特权用户,某些信息也是可用的。
例如,虽然 Alerts → Scripts 仅对 Super Admin 用户可用,但脚本也可以通过 Zabbix API 获取。
在这种情况下,限制脚本权限并从脚本中排除敏感信息(例如访问凭据)有助于避免暴露全局脚本中的敏感信息。
Zabbix agent 的安全用户
默认情况下,Zabbix 服务器、proxy 和 agent(或 agent 2)进程共用同一个 zabbix 用户。
为防止 Zabbix agent/agent 2(与服务器/proxy 运行在同一台机器上)访问服务器/proxy 配置中的敏感信息(例如数据库凭据),应让 agent 以不同的用户身份运行:
对于 Zabbix agent:
对于 Zabbix agent 2,必须在 service 级别应用该配置,因为 agent 2 配置文件 不支持 User 参数。
示例请参见 ZBX-26442。
撤销对 SSL 配置的写入权限(Windows)
如果您在 Windows 上编译了 Zabbix agent,且 OpenSSL 位于未受保护的目录中(例如 C:\zabbix、c:\openssl-64bit、C:\OpenSSL-Win64-111-static 或 C:\dev\openssl),请务必撤销非管理员用户对此目录的写入权限。
否则,agent 会从可被非特权用户修改的路径加载 SSL 设置,从而导致潜在的安全漏洞。
加固 Zabbix 组件的安全性
可以关闭某些功能以加固 Zabbix 组件的安全性:
- 可通过在服务器配置中设置 EnableGlobalScripts=0 来禁用 Zabbix 服务器上的全局脚本执行;
- Zabbix proxy 上的全局脚本执行默认禁用(可通过在 proxy 配置中设置 EnableRemoteCommands=1 来启用);
- Zabbix agent 上的全局脚本执行默认禁用(可通过在 agent 配置中为每个允许的命令添加 AllowKey=system.run[<command>,*] 参数来启用);
- 可通过在前端配置文件(zabbix.conf.php)中设置
$ALLOW_HTTP_AUTH=false来禁用用户 HTTP 身份验证。请注意,重新安装前端(运行 setup.php)将删除此参数。
Windows 上 Zabbix agent 对 UNC 路径的访问
Windows 上的 Zabbix agent 会在 vfs.file.*、vfs.dir.*、modbus.get 和 perf_counter* 等监控项中跟随 UNC 路径(如 \\server\share\file.txt 这样的 SMB 共享)。在某些场景下,这可能带来安全风险。
当 Windows 被要求访问 UNC 路径时,它会尝试在该服务器上进行身份验证。这意味着,针对 Zabbix agent 的恶意请求可能会将 NTLM 哈希暴露给请求方服务器。如果用户有需要,可以使用 AllowKey 和 DenyKey 配置参数来降低这种风险。